Pakar keselamatan Wiz memberi amaran tentang kelemahan dalam Perkhidmatan Aplikasi Azure Microsoft. Kerentanan mendedahkan ratusan repositori kod sumber. Microsoft telah menambal kebocoran itu.
Wiz menemui apa yang dipanggil kelemahan NotLegit dalam Azure App Service. Perkhidmatan itu, juga dikenali sebagai Azure Web Apps, ialah platform untuk mengehos laman web dan aplikasi berasaskan web. Kod sumber dan artifak boleh dimuat naik ke Azure App Service menggunakan alat Git Setempat. Pengguna boleh menyediakan repositori Git Tempatan dengan bekas Azure App Service dan menolak kod terus ke pelayan.
Menurut para penyelidik, di sinilah letak kelemahannya. Apabila menggunakan Git Tempatan untuk melancarkan kod ke Perkhidmatan Aplikasi Azure, repositori git telah disediakan dengan direktori boleh diakses secara umum yang boleh diakses oleh semua orang.
Beberapa bahasa kod terjejas
Terutamanya kod sumber yang ditulis dalam PHP, Python, Ruby atau Node terdedah. Ini sebahagiannya kerana bahasa kod ini sering menggunakan pelayan web seperti Apache, Nginx dan Flask. Pelayan web ini tidak boleh mengendalikan fail web.config. Ini membolehkan akses awam kepada repositori kod sumber tersebut.
Dikenali oleh Microsoft
Pakar keselamatan di Wiz telah memaklumkan kepada Microsoft tentang kelemahan itu pada awal Oktober tahun ini. Microsoft telah menutupnya. Walau apa pun, pakar menggesa pengguna untuk menyemak sama ada kod sumber mereka telah didedahkan dan mengambil tindakan untuk aplikasi mereka.